Компания «ITBiz» взяла на себя обязательство донести основные положения данного документа до участников украинского финансового и телекоммуникационного рынка.
Информационная безопасность: распределенные атаки типа «отказ в обслуживании» и мошенничество со счетами клиентов
Кому: главам всех национальных банков, директорам отделений иностранных банков и агентств, федеральных сберегательных ассоциаций, поставщикам технологических услуг, начальникам подразделений и отделов, всем проверяющим сотрудникам и другим заинтересованным сторонам
В последнее время различные группы квалифицированных нарушителей проводили распределенные атаки типа «отказ в обслуживании» (DDoS-атаки), направленные на национальные банки и федеральные сберегательные ассоциации (далее все вместе именуемые банками). Осуществляя подобные атаки, эти группы преследовали разные цели, от привлечения к себе общественного внимания до перенаправления банковских ресурсов, а проводимые в то же время онлайн-атаки были нацелены на создание возможностей для мошенничества или похищение конфиденциальной информации. В настоящем оповещении приводится общее описание атак, а также рекомендации по снижению рисков и соответствующие инструкции по управлению рисками. В оповещении также содержится напоминание о том, что Комиссия по регулированию деятельности коммерческих банков (Office of the Comptroller of the Currency, OCC) ожидает от банков реализации программ по управлению рисками с целью определения и надлежащего рассмотрения новых и возникающих угроз для онлайн-счетов, а также адаптации своих средств аутентификации клиентов, многоуровневой защиты и других средств управления в ответ на изменения уровня риска.
Описание атак
Целью DDoS-атаки является блокировка доступа к банковским услугам через Интернет путем направления на сайт банка больших объемов интернет-трафика с взломанных компьютеров. В некоторых случаях группы квалифицированных нарушителей меняют свою тактику в ходе атак, направляя их на поставщиков услуг Интернета. Также мошенники используют DDoS-атаки для отвлечения технических ресурсов и внимания персонала, когда они получают несанкционированный удаленный доступ к счету клиента и совершают мошеннические действия через автоматизированную клиринговую палату и банковские переводы (т. н. «перехват счета»). В данном сценарии DDoS-атака может проводиться непосредственно до, во время или после основной атаки. DDoS-атаки также используются для лишения клиентов банка возможности сообщить о подозреваемом мошенничестве, а также блокирования связи банков с клиентами в целях их предупреждения.
Определение рисков и управление ими
Банки должны проявлять повышенное внимание к описанным выше атакам и использовать надлежащие ресурсы для определения и снижения, связанных с ними рисков. Подготовительные меры могут включать в себя обеспечение достаточного количества персонала во время проведения DDoS-атак, а также привлечение сторонних поставщиков услуг, которые могут оказывать помощь в управлении потоком интернет-трафика, на договорных началах. Кроме того, банки должны обеспечивать эффективное вовлечение надлежащих специалистов и внешних партнеров в процесс реагирования на инциденты в различных сферах деятельности. Также банки должны рассмотреть возможность проведения надлежащей проверки поставщиков услуг (например, услуг Интернета или веб-хостинга), чтобы быть уверенными в принятии ими необходимых мер для определения и снижения рисков, связанных с потенциальными DDoS-атаками.
Поскольку группы, проводящие DDoS-атаки, могут менять тактику и цели в ходе самой атаки, банкам следует включать в свои стратегии снижения рисков обмен информацией с другими банками и поставщиками услуг. Членство в организациях, обеспечивающих обмен информацией, таких как Центр анализа и обмена информацией между финансовыми службами (Financial Services Information Sharing and Analysis Center, FS-ISAC), может помочь банкам наладить эффективный информационный обмен. FS-ISAC и Группу быстрого реагирования на компьютерные инциденты в США (United States Computer Emergency Readiness Team, US-CERT) можно считать надежными источниками сведений о методах, используемых для проведения атак и тактиках снижения риска, которые позволяют минимизировать ущерб от подобных атак. Например, организация FS-ISAC, опубликовала документы, связанные с DDoS-атаками и перехватом счетов.
Обеспечение своевременного и точного информирования клиентов о проблемах с веб-сайтом в чрезвычайных ситуациях, рисках, которым подвергаются клиенты, мерах предосторожности, которые они могут принимать, а также об альтернативных каналах доставки, которые будут удовлетворять их потребности в банковском обслуживании, должны стать неотъемлемой частью процесса планирования в банках. В рамках текущих программ по управлению рисками банкам следует учитывать особенности проведенных в последнее время DDoS-атак и случаев мошенничества со счетами клиентов. Следует уделить внимание всем аспектам применяемого в банке процесса управления рисками, включая оценку рисков, способы их снижения, планы реагирования, связанные с этим политики и процедуры, а также тестирование, профессиональное обучение и обучение клиентов.
Регулирующая документация
Существующая регулирующая документация определяет меры, которые банкам следует принимать для снижения рисков, связанных с информационной безопасностью. В брошюре Information Security из издания FFIEC Information Technology Examination Handbook (IT Handbook) рассматриваются общие принципы управления рисками, связанными с информационной безопасностью. Руководство по предупреждению атак на счета клиентов содержится в документе FFIEC Authentication in an Internet Banking Environment, опубликованном в 2005 году, а также в дополнении к нему (Supplement), которое было издано в 2011 году. Кроме того, при использовании сторонних услуг по смягчению последствий DDoS-атак банки должны руководствоваться брошюрой Outsourcing Technology Services издания IT Handbook.
OCC ожидает от банков, ставших жертвами DDoS-атак или испытавших на себе их негативные последствия, предоставления сведений о таких атаках правоохранительным структурам и соответствующему наблюдательному органу. Кроме того, банки должны самостоятельно подавать отчет о подозрительной операции (Suspicious Activity Report, SAR), если DDoS-атака затрагивает критически важную для банка информацию, в частности сведения о счете клиента, либо повреждает, блокирует или иным образом влияет на критически важные системы банка. События, связанные с перехватом счетов, могут требовать подачи SAR, как предусмотрено в руководстве Сети по борьбе с финансовыми преступлениями (Financial Crimes Enforcement Network), выпущенном в прошлом году.
«Сегодня то время, когда очень важно принять правильное решение по обеспечению информационной безопасности в будущем. При не малом выборе разных решений на рынке Украины стоит понимать, что самодельные сервисы не смогут обеспечить требуемую надежность, предоставить необходимые гарантии, автономно отследить и заблокировать атаку без участия оператора, - предостерегает от ошибок, Владимир Гук, руководитель отдела корпоративных продаж компании «ITBiz». Мои рекомендации неизменны в отношении целесообразности работы над задачами такого масштаба с мировыми лидерами по сетевому управлению и безопасности. Их опыт сотрудничества с операторами связи по всему миру уже отметили ведущие производители сетевого оборудования и бизнес-приложений».
Для пошуку виробників і дистриб'юторів, експортерів і імпортерів товарів і послуг в Україні і за кордоном - скористайтеся базою даних компаній "КОМПАСС Україна": Безкоштовна версія www.demo.kompass.ua
